2. Ako
prebieha
bežný
deface
webu?
• Deravé
CMS-‐ko
• SQLi
• File
upload
• atď
• Deravé
systémy
web
hosLng
providera
• Ukradnuté
heslo
3. Cesty
na
prienik
do
webov
• Útok
na
systémy
admina
• HW
• OS
• Sieť
• Systémové
knižnice,
služby
• Webový
server
• RunLme
aplikácie
• Knižnice,
framework
• Aplikácia
4. Útok
na
systém
admina
• Rôzne
vektory
infikácie
• Trojan
• Keylogger
5. Hardvér
• Fyzický
prístup
• Remote
management
serveru
• Tiež
je
to
len
operačný
systém
so
všetkými
špecifikami
• Väčšinou
nie
je
updatovaný
6. Operačný
Systém
• Sieť
• Bežné
sieťové
útoky
• DNS
• Systémové
knižnice,
služby
• Konfiguračné
chyby
• Špecifické
útoky
(staré/deravé
verzie)
• Služby
vs.
firewall
7. Webový
server
• Web
server
samotný
• Akevne
moduly
• Konfigurácia
8. Webový
server
• RunLme
aplikácie
• Knižnice/moduly/rozšírenia
• Aplikácia
16. Nepriestrelný
web
–
HOW
TO
• CMS
“fyzicky”
oddelené
od
publikovanej
verzie
webu
• Izolácia
-‐
zamedzenie
prístupu
z
jedného
vhostu
do
druhého
• Napr.
mod_ruid,
pri
ktorom
beží
každý
vhost
pod
iným
EUID
• Alebo
rôzne
servery
17. Nepriestrelný
web
–
HOW
TO
• Mirror
webu
z
CMS
• Napr.
wget,
hmrack
• Doťahať
špecifické
súbory
• Napr.
IE
specific
stypesheet
• Špecifické
fixy
• Napr.
404
bez
vyhľadávanie
• Upload
do
public
vhostu
• Cleanup
19. Nepriestrelný
web
–
HOW
TO
• Absolútne
linky
• AddOutputFilterByType SUBSTITUTE text/html
• Substitute "s|https?://cms.citadelo..*/|/|I”
20. Nepriestrelný
web
–
HOW
TO
• Jazyková
mutácia
podľa
GEO
IP
• RewriteEngine On
• GeoIPEnable On
• # ak nie sme domena .hu
• RewriteCond %{HTTP_HOST} !^((www.|beta.)?
citadelo.hu)
• # a zaroven nie sme podla geoip SK|HU|CZ
• RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !(^(SK|HU|
CZ)$)
• # tak zobrazime /en
• RewriteRule ^$ /en [L]
• RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^HU$ [OR]
• RewriteCond %{HTTP_HOST} ^(www.|beta.)?
citadelo.hu
• RewriteRule ^$ /hu [L]
21. Nepriestrelný
web
–
HOW
TO
• Predsalen
nejaký
akevny
prvok?
• ProxyPass /mam-zaujem-o-audit-bezpecnosti/
http://cms.citadelo.com/mam-zaujem-o-audit-
bezpecnosti/
• ProxyPassReverse /mam-zaujem-o-audit-
bezpecnosti/ http://cms.citadelo.com/mam-
zaujem-o-audit-bezpecnosti/
22. Nepriestrelný
web
–
HOW
TO
• Po
zmene
obsahu
v
CMS
je
potrebné
vypublikovať
obsah
cez
d2s.sh
• AutomaLcky
–
periodicky
z
CRONu
• Manuálne
–
skript
vyvolaný
z
webu
• Manuálne
–
skript
vyvolaný
cez
ssh
23. Nepriestrelný
web
–
Limity
• Vyhľadávanie
• Diskusie
• Live
chat
• A/B
tesLng
24. Nepriestrelný
web
• PrakLcky
nehacknuteľný
web
• Vhodné
pre
prezentačné
weby
bez
akevnych
prvkov
• Alebo
weby
s
akevnymi
prvkami,
ktoré
vieme
outsourcovať